Recentemente D3Lab ha rilevato e condiviso con il CERT-AgID un campione di malware per dispositivi Android individuato in una campagna di smishing rivolta verso utenti italiani.
La campagna è veicolata tramite link riportato in un SMS e la pagina di download risulta visibile solo se visitata da un browser che si presenti con User-Agent Android. Come avviene in molti altri casi, il file malevolo, in questo caso un APK riconducibile a Hydra, viene scaricato dai server Discord.
Attraverso questa pagina la vittima viene invitata a scaricare (o aggiornare) l’app Coinbase. Se l’utente procede con il download, il dispositivo Android viene compromesso dal trojan bancario Hydra mettendo a rischio le password degli account bancari e i portafogli di criptovalute.
Il campione osservato dal CERT-AgID prende di mira 338 applicazioni bancarie e presenta funzionalità che gli consentono di prendere il controllo del dispositivo: dalla gestione completa degli SMS alla possibilità di accedere al device compromesso tramite TeamViewer, al furto del PIN ed all’interazione del bot con il C2 per ricevere comandi ed eseguire nuove istruzioni.
Nonostante questa campagna fosse rivolta ad utenti italiani, si è scoperto che il malware effettua un controllo sull’IP con cui il dispositivo è connesso a Internet per analizzarne il country code: gli unici paesi esclusi dalla compromissione sono Russia e Ucraina.
Le banking app bersaglio
Come detto, Hydra un banking trojan prende di mira 338 diverse app bancarie: tra queste ve ne sono alcune di noti istituti bancari italiani. Per ogni app c’è un pacchetto che contiene un’icona in formato PNG e un file index.html che viene usato per sostituire la pagina originale con il form di login fake. A questo punto tutti i dati inseriti in questi form sono inviati ai gestori del malware
Iscriviti alla nostra newsletter ed ottieni uno sconto sull’ Antivirus